À partir de la fin du mois de juillet, Microsoft a commencé à détecter les fichiers HOSTS qui bloquent les serveurs de télémétrie Windows 10 en tant que risque de sécurité «sévère».

Le fichier HOSTS est un fichier texte situé dans C: \ Windows \ system32 \ driver \ etc \ HOSTS et ne peut être modifié que par un programme doté de privilèges d'administrateur.

Ce fichier est utilisé pour résoudre les noms d'hôte en adresses IP sans utiliser le système de noms de domaine (DNS).

Ce fichier est couramment utilisé pour empêcher un ordinateur d'accéder à un site distant en attribuant un hôte à l'adresse IP 127.0.0.1 ou 0.0.0.0.

Par exemple, si vous ajoutez la ligne suivante au fichier Windows HOSTS, cela empêchera les utilisateurs d'accéder à www.google.com car vos navigateurs penseront que vous essayez de vous connecter à 127.0.0.1, qui est l'ordinateur local.

127.0.0.1 www.google.com

Microsoft détecte désormais les fichiers HOSTS qui bloquent la télémétrie Windows
Depuis la fin du mois de juillet, les utilisateurs de Windows 10 ont commencé à signaler que Windows Defender avait commencé à détecter les fichiers HOSTS modifiés en tant que menace "SettingsModifier: Win32 / HostsFileHijack''.

Lorsqu'il est détecté, si un utilisateur clique sur l'option "Voir les détails", il sera simplement montré qu'il est affecté par une menace "Modificateur de paramètres'' et a un "comportement potentiellement indésirable", comme indiqué ci-dessous.



BleepingComputer a été informé pour la première fois de ce problème par BornCity , et bien que Microsoft Defender détecte les détournements de HOSTS ne soit pas nouveau , il était étrange de voir autant de personnes signaler soudainement la détection.

Bien qu'une infection généralisée touchant de nombreux consommateurs simultanément dans le passé ne soit pas inconnue, elle est assez inhabituelle avec la sécurité intégrée à Windows 10 aujourd'hui.

Cela m'a amené à croire qu'il s'agissait d'un faux positif ou d'un autre problème non malveillant.

Après avoir joué avec des modifications génériques de fichiers HOSTS telles que le blocage de BleepingComputer et d'autres sites, j'ai essayé d'ajouter une liste de blocage pour la télémétrie de Microsoft à mon fichier HOSTS.

Cette liste ajoute de nombreux serveurs Microsoft utilisés par le système d'exploitation Windows et les logiciels Microsoft pour renvoyer la télémétrie et les données utilisateur à Microsoft.

Dès que j'ai enregistré le fichier HOSTS, j'ai reçu l'alerte suivante indiquant que je ne pouvais pas enregistrer le fichier car il "contient un virus ou un logiciel potentiellement indésirable". J'ai également reçu des alertes indiquant que mon ordinateur était infecté par "SettingsModifier: Win32 / HostsFileHijack''.


Il semble donc que Microsoft ait récemment mis à jour ses définitions Microsoft Defender pour détecter quand leurs serveurs ont été ajoutés au fichier HOSTS.

Les utilisateurs qui utilisent des fichiers HOSTS pour bloquer la télémétrie Windows 10 les ont soudainement amenés à voir la détection de piratage de fichiers HOSTS.

Lors de nos tests, certains des hôtes Microsoft détectés dans le fichier HOSTS de Windows 10 sont les suivants:

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

Si vous décidez de nettoyer cette menace, Microsoft restaurera le fichier HOSTS à son contenu par défaut.

Les utilisateurs qui modifient intentionnellement leur fichier HOSTS peuvent autoriser cette "menace"», mais cela peut activer toutes les modifications HOSTS, même malveillantes, à l'avenir.

Donc, n'autorisez la menace que si vous comprenez à 100% les risques encourus.

BleepingComputer a contacté Microsoft avec des questions concernant cette nouvelle détection.